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Verfahren zur Durchfiihrung eines Buchungsvorganges 

Die Erfindung betrifft ein Verfahren zur Durchfiihrung eines 
Buchungsvorganges auf einem mobilen, intelligenten Speicher, 
5 insbesondere einer Chipkarte, mit Hilfe eines Endgerats, das 
drahtlos mit einem Rechner, vorzugsweise iiber Rechners tatio- 
nen, gesichert konununiziert, wobei eine gegenseitige dynami- 
sche Authentizita tspriif ung zwischen Rechner bzw. Endgerat und 
Speicher unter Verwendung eines sich standig andernden Daten- 

10 wortes vorgenommen und die Abbuchungs information vom Rechner 

oder Endgerat generiert und vom Speicher verarbeitet und quit- 
tiert wird, woraufhin das Endgerat ein Bestatigungssignal fur 
die Durchfiihrung des Buchungsvorganges zum Rechner leitet und 
ggf s . ein Anerkennungssignal fur die getatigte Abbuchung er- 

15 halt. 

Eine wichtige Anwendung eines derartigen Verfahrens besteht in 
der automatischen Gebiihrenerhebung im Straflenverkehr durch 
eine drahtlose Kommunikation zwischen einer straflenseitigen 

20 Einrichtung ( Rechners tation mit Funkbake - Roadside System, 
RSS) und einer f ahrzeugseitigen Ausriistung (On-Board-Unit , 
OBU, mit Chipkarte, ICC), Das im Fahrzeug befindliche, mit 
einer Chipkarte bestuckbare Endgerat (OBU) wird in einer 
bekannten Anordnung als Transponder ausgefiihrt. Die OBU ent- 

25 nimmt dabei dem empfangenen Signal der Funkbake des RSS die 

erf orderliche Energie und sendet an die Funkbake ein mit einem 
Datenstrom moduliertes Signal zuriick. 

Es sind zahlreiche Buchungssysteme mit Chipkarten bekannt, bei 
30 denen der Buchungsvorgang gesichert durch eine gegenseitige 



Authentizitatspriif ung zwischen Endgerat und Chipkarte ablauft. 
Dabei wird zunachst vom Endgerat ein Buchungss ignal erzeugt, 
durch das die Buchungsapplikat ion auf der Chipkarte selektiert 
wird. Nach Erhalt der Bestatigung der vorgenommenen Selektion 
5 durch die Chipkarte generiert das Endgerate eine Zufallszahl 
und iibertragt diese auf die Chipkarte. Die Chipkarte bildet 
mit der abgespeicherten Signatur unter Verwendung der Zufalls- 
zahl eine Kennung, die auf das Endgerat ubertragen wird. Das 
Endgerat extrahiert aus dem Signal die Signatur der Chipkarte 

10 und kann somit erkennen, da/1 die Chipkarte fiir den Betrieb mit 
dem jeweiligen Endgerat autorisiert ist. Zur umgekehrten Au- 
thentizitatspriif ung generiert nunxnehr die Chipkarte eine Zu- 
satzzahl und iibertragt diese auf das Endgerat. Der mit dem 
Endgerat kommunizierende Rechner bildet mit der Zufallszahl 

15 und einer eigenen Signatur eine Kennung, die von der Chipkarte 
empfangen und uberpruft wird. Nachdem nuamehr die gegenseitige 
Authentizitat festgestellt worden ist, wird von dem Rechner 
liber das Endgerat der Borsenstand der Chipkarte abgefragt. Aus 
den erhaltenen Daten wird ein neuer Borsenstand berechnet und 

20 liber ein Schreibs ignal in die Chipkarte eingelesen. Der Ein- 
lesevorgang wird von der Chipkarte quittiert und das Quit- 
tungssignal auf den Rechner ubertragen. Ggf s . veranlafit das 
Gerat ein erneutes Auslesen des nunmehr aktuellen Borsenstan- 
des, urn diesen mit dem errechneten Borsenstand zu vergleichen. 

25 

Dieses Buchungsver f ahren setzt somit mindestens 6 Ubertragun- 
gen in beiden Richtungen voraus . Der Buchungsvorgang dauert 
dabei mehrere 100 ms, was im allgemeinen unkritisch ist, da 
regelmaBig geniigend Zeit zur Verfiigung steht und die gegensei- 
30 tigen tibertragungen in der Zeitspanne nicht durch Unter- 
brechungen gefahrdet sind. 

Eine vollig andere Situation ergibt sich jedoch fiir manche 
Anwendungen, insbesondere fiir die Gebiihrener f assung bei 
35 schnellf ahrenden Fahrzeugen. Die Mikrowellen-Funkverbindung 

zwischen dem Fahrzeuggerat und der s traBenseitigen stationaren 
Funkbake kann unterbrochen werden und mu/3 dariiber hinaus in 



einer sehr geringen Zeitspanne abgeschlos sen sein. Die gesamte 
Zahlungs transaktion mufi in einem kurzen Zeitrahmen zwischen 50 
und 100 ms abgeschlos sen sein. Dariiber hinaus ist die Kommuni- 
kation zwischen dem Endgerat und der Chipkarte nur moglich, 
wenn eine Funkverbindung mit der Funkbake besteht, wenn das 
Endgerat als Transponder ausgefiihrt ist und daher die Energie- 
versorgung aus den empfangenen Signalen der Funkbake entnimmt. 

Hieraus resultiert, daB auch die Kommunikation zwischen Endge- 
rat und Chipkarte wahrend des Abbuchungsvorganges anfallig 
gegeniiber Storungen der Funkverbindung ist. Fur einen Hoch- 
geschwindigkeits-Buchungsvorgang ist es daher von eminenter 
Eedeutung, daB die Kommunikation zwischen Endgerat und Chip- 
karte in einem mdglichst kurzen Zeitraum erfolgt, da eine Un- 
terbrechung des Kommunikationsablaufs entweder erfordert, daB 
die Wiederauf nahme der Kommunikation am gleichen Endgerat er- 
folgt oder dafl alle Endgerate miteinander vernetzt sind. Beide 
Voraussetzungen sind beispielsweise bei Gebiihrenerf assungssy- 
stemen fiir den offentlichen Personennahverkehr regelmaBig 
nicht erfiillt. 

Die vorliegende Erfindung geht somit von der Problems tellung 
aus, ein Verfahren zur Durchfiihrung eines Buchungs vorganges 
der eingangs erwahnten Art anzugeben, das eine Hochgeschwin- 
digkeits-Abwicklung erlaubt und eine nur kleine gegen Unter- 
brechungen empfindliche Zeitspanne aufweist. 

Ausgehend von dieser Problems tellung ist ein Verfahren der 
eingangs erwahnten Art dadurch gelost, daB vor einer gegen 
Unterbrechungen empf indlichen Zeitspanne ein zur dynamischen 
Authentizitatspriif ung generiertes erstes Datenwort vom Spei- 
cher auf das Endgerat ubertragen wird, 

daB wahrend der gegen Unterbrechungen empf indlichen Zeitspanne 
vom Endgerat auf den Speicher ein einziges Signal ubertragen 
wird, das ein Buchungsauslosesignal , einen Buchungsdatensatz , 
eine unter Verwendung des vorher iibertragenen ersten Daten- 



worts generierte Kennung .und ein zweites vom Endgerat 
generiertes zweites Datenwort enthalt, woraufhin der Speicher 
die Kennung priift, die Buchung gemaB dem Buchungsdatensatz 
vornimmt, eine eigene Kennung unter Verwendung des zweiten 
Datenworts generiert und vom Speicher ein Betatigungssignal 
fur die vorgenommene Buchung zusammen mit seiner generierten 
Kennung iiber das Endgerat auf den Rechner ubertragen wird, 
und daB die Bestatigung fiir die Durchfuhrung der Buchung vom 
Endgerat auf den Rechner wahlweise innerhalb oder auBerhalb 
der gegen Unterbrechungen empf indlichen Zeitspanne ubertragen 
wird. 

Die Erfindung beruht darauf, daB die bisher ubliche sequen- 
tielle Kommunikation zur gegenseitigen Authentizitatspruf ung, 
zur Selektion der Applikation und zur Durchfuhrung des 
Buchungs vorganges in ein einziges Kommandos ignal zusammenfaB- 
bar sind. DemgemaB reduziert sich die wahrend der gegen Unter- 
brechungen empf indlichen Zeitspanne durchge f lihrte Kommunika- 
tion auf ein vom Rechner bzw. Endgerat auf die Chipkarte iiber- 
tragenes Signal und ein von der Chipkarte zum Rechner bzw. 
Endgerat zuriickiibertragenes Signal, das nach den Verarbei- 
tungsvorgangen auf der Chipkarte erzeugt wird. Voraussetzung 
fiir diese Kommunikation ist die vorherige Ubertragung eines 
ersten Datenworts vom Speicher auf das Endgerat, wobei das 
erste Datenwort eine Zeitangabe oder eine Zufallszahl sein 
kann. Die Komple ttierung der Abbuchung kann ferner auBerhalb 
der gegen Unterbrechungen empf indlichen Zeitspanne durch die 
spater erfolgte Bestatigung fur die Durchfuhrung der Buchung 
vom Endgerat an den Rechner erfolgen. Die gegenseitige Authen- 
tizitatspriif ung wird regelmaBig zwischen Rechner und Speicher 
unter Zwischenschaltung des Endgerates erfolgen. Es ist aber 
auch denkbar, eine Authent iz itatspriif ung nur zwischen Endgerat 
und Speicher vorzunehmen und lediglich das Ergebnis der Prii- 
fung dem Rechner explizit oder implizit mitzuteilen. 

In einer bevorzugten Ausf iihrungsf orm der Erfindung enthalt der 
Buchungsdatensatz zugleich einen Transaktionsdatensatz zur 
Erstellung eines Logbucheintrags im Speicher. Auf diese Weise 



wird im Speicher ein komplettes Logbuch erzeugt, das alle Vor- 
gange und Gebiihrenhohen dokument iert . 

Zweckmafiigerweise wird der Transaktionsdatensatz im Speicher 
durch das aufierhalb der gegen Unterbrechungen empf indlichen 
Zeitspanne iibertragene Anerkennungssignal vom Rechner erganzt. 
Ohne das Anerkennungssignal ist der Transaktionsdatensatz nur 
vorlaufig. 

Die vorzugsweise als Speicher verwendeten Chipkarten enthalten 
haufig nicht f liicht ige Speicher (EEPROM), die physikalisch sei- 
tenweise organisiert sind. Der Schreibvorgang in einem derar- 
tigen Speicher ist zeitauf wendig und jeweils nur fur eine Sei- 
te moglich, Uber der phys ikalischen Ebene liegt eine logische 
Organisation in Dateien durch das Chipkarten-Betriebssys tern . 
Die Datei, die die Daten enthalt, die von einer Buchung be- 
troffen sind, also tiblicherweise eine Datei fiir eine Geldbor- 
se, ist regelmafiig getrennt von der Logbuch-Datei angelegt. 
Ein Zugriff auf die Geldborsen-Datei und die Logbuch-Datei 
erfordert daher herkommlich mindestens zwei zeitaufwendige 
physikalische Schreibzugrif f e auf den nichtf liicht igen 
Speicher. Fiir den er f indungsgemafien Zweck einer Hochgeschwin- 
digkeits-Abbuchung ist es daher auflerordentlich vorteilhaft, 
wenn in einer Ausges tal tung des erf indungsgemaflen Verfahrens 
der (vorlaufige) Transaktionsdatensatz auf der Seite abgelegt 
wird, auf der sich die der Buchung unterliegenden Daten be- 
finden und wenn die Ubertragung auf eine Logbuch-Datei aufler- 
halb der gegen Unterbrechungen empf indlichen Zeitspanne er- 
folgt. Urn sicherzustellen, dafl diese Ubertragung auf die Log- 
buch-Datei immer erfolgt, kann ein Zus tandsautomat auf der 
Chipkarte implementiert werden, der eine erneute Abbuchung 
erst nach er f olgreicher Ubertragung in die Logbuch-Datei ge- 
stattet. Alternativ hierzu kann bei einer erneuten Abbuchung 
selbstandig zuerst die Ubertragung des letzten Transaktions- 
datensatzes vorgenommen werden. Hiermit ware allerdings ein 
Zeitnachteil verbunden. 



In heutiger Technik 
gang zwischen Endge 
schleunigen . 



lafit sich der zei tkri tische Abbuchungsvor- 
rat und Speicher auf liber 150.000 Baud be- 



Die Erfindung soil im folgenden anhand eines in der Zeichnung 
darges tellten Aus f uhrungsbeispiels naher erlautert werden: 
Es zeigen: 



Figur 1 - eine schematische Darstellung der Kommunikation 

zwischen einer Funkbake, einer Rechners tat ion 
und einem fahrenden Kraf t f ahrzeug , das mit ei- 
nem Endgerat mit einer Chipkarte ausgestattet 
is t , 



Figur 2 - eine schematische Darstellung des fur eine Bu- 

chung erf indungsgemafl benotigten kompakten Kom- 
munikations vorgangs zwischen dem Endgerat und 
der Chipkarte . 



Figur 1 lafit eine s trafienseitige Rechners tation 1 mit einer 
Funkbake 2 erkennen, mit der eine Kommunikation mit einem fah- 
renden Kraf tf ahrzeug 3 durchgefvihrt wird. Hierfiir ist das fah- 
rende Kraf tf ahrzeug mit einem Endgerat OBU ausgestattet, des- 
sen Gebuhrenguthaben bzw. -kredit auf einer Chipkarte ICC ge- 
speichert ist. 

Beim Durchfahren des Kommunikationsbereichs , der im vorliegen- 
den Fall etwa 4,5 m betragt soil die Strafienbenutzungsgebiihr 
vom Guthaben auf der Chipkarte ICC abgebucht bzw. auf dem Kre- 
ditkonto der Chipkarte ICC gebucht werden. 

Der hierfiir erf orderliche Kommunikationsablauf sieht ein 
Initiierungssignal der Funkbake 2 vor, auf das das Endgerat 
OBU mit einem "Service Request "-Signal antwortet. Daraufhin 
erzeugt die Funkbake 2 ein "Debit Order " -Signal , das von dem 
Endgerat OBU als "Debit Command " auf die Chipkarte ICC iiber- 
tragen wird. Nach Durchfiihrung der Abbuchung erzeugt die Chip- 
karte ein Quittungssignal "Receipt", das aufgrund eines Ini- 



tiierungssignals der Funkbake 2 von dem Endgerat OBU auf die 
Funkbake 2 ubertragen wird. Den ordnungsgemaflen Erhalt des 
Quittungss ignals bestatigt die Funkbake 2 dann als 
"Acknowledge" woraufhin das Endgerat OBU das Anerkennungs- 
signal zur Vervol Is tandigung eines Transakt ionsdatensatzes auf 
die Chipkarte ubertragt und die Chipkarte die Daten fiir den 
nachsten "Service Request" beim Endgerat OBU bereits tellt . 

Der zeitkritische Teil dieser Kommunikation liegt zwischen der 
Erstellung der "Debit Order" durch die Funkbake 2 bis zum 
Ubertragen des Anerkennungssignals auf das Endgerat OBU. 

Diese s toranf allige Kommunikation wird er f indungsgemafl inner- 
halb kiirzester Zeit dadurch durchgef uhrt , dafl gema/5 Figur 2 
von dem Endgerat OBU ein MAKRO-Signal auf die Chipkarte ICC 
ubermittelt wird, das ein Selekt ions s ignai fiir die betreffende 
Applikation APPL (Buchung), ein Buchungsaus losesignal CMD, den 
Buchungsbetrag B, die eigene Signatur SI und eine generierte 
Zufallszahl R2 enthalt. Vorzugsweise enthalt das MAKRO-Signal 
ferner noch einen vorlaufigen Transakt ionsdatensatz L zur Er- 
stellung einer Logbuchinf ormation in der Chipkarte ICC. 
Transaktionsdatensatz und Buchungsbetrag B bilden zusammen 
einen Buchungsdatensat z . 

Die Signatur SI wird dabei vorzugsweise verschlusselt ubertra- 
gen, wozu ein erstes Datenwort Rl benutzt wird, das in Form 
eines Zeitsignals oder einer Zufallszahl vorher von der Chip- 
karte ICC auf das Endgerat OBU ubertragen worden ist. 

Die Chipkarte ICC selektiert die Applikation gemafl APPL, priift 
die Signatur SI und den Buchungsbetrag B, berechnet und 
schreibt den neuen Borsenstand in der Geldborsendatei sowie 
die Logbuchinf ormation L, urn so die Buchung vorzunehmen . Fer- 
ner berechnet die Chipkarte ICC unter Verwendung des von dem 
Endgerat OBU generierten zweiten Datenworts R2, das ebenfalls 
eine Zufallszahl oder eine Zeitinf ormation ist, eine zweite 
Kennung mit Hilfe der eigenen Signatur S2. 



8 

Die Chipkarte iibertragt nach Durchfuhrung dieser Aktionen ein 
Quittiersignal und die zweite Kennung mit der Signatur S2 auf 
das Endgerat OBU. Von dem Endgerat OBU wird das Quittiersignal 
auf die Funkbake 2, also den Rechner 1 iibertragen, der so die 
5 Authentizitat der Chipkarte ICC iiberpriift und erkennt. 

Die Komplettierung des vorlauf igen Transakt ionsda tensat zes in 
der Chipkarte ICC erfolgt durch ein Bes ta t igungss ignal des 
Rechners 1 fiir den Empfang des Quittungss ignals fiir die durch- 
10 gefiihrte Buchung. 

Das Anerkennungssignal des Rechners 1 kann dazu verwendet wer- 
den, in der Chipkarte eine Ubertragung des vorlaufig abgeleg- 
ten Transaktionsdatensatzes in eine Logbuch-Da tei vorzunehmen . 

15 



Patentanspriiche 



1. Verfahren zur Durchfuhrung eines Buchungsvorganges auf 

einem mobilen, intelligenten Speicher (ICC), insbesondere 
einer Chipkarte, mit Hilfe eines Endgerats OBU, das 
drahtlos mit einem Rechner (1), vorzugsweise iiber Rech- 
nerstationen, gesichert kommuniziert, wobei eine gegen- 
seitige dynamische Authentizitatspriif ung zwischen Rechner 
(1) bzw. Endgerat (OBU) und Speicher (ICC) unter Verwen- 
dung eines sich standig andernden Datenworts (Rl, R2 ) 
vorgenommen und die Abbuchungsinf ormation vom Rechner (1) 
oder Endgerat (OBU) generiert und vom Speicher (ICC) ver- 
arbeitet und quittiert wird, woraufhin das Endgerat (OBU) 
ein Bestatigungssignal fur die Durchfuhrung des Buchungs- 
vorganges zum Rechner (1) leitet und ggf s . ein Anerken- 
nungssignal fur die getatigte Abbuchung erhalt, dadurch 
gekennzeichnet, daJ3 vor einer gegen Unterbrechungen emp- 
findlichen Zeitspanne ein zur dynamischen Authentizitats- 
priif ung generiertes erstes Datenwort (Rl) vom Speicher 
(ICC) auf das Endgerat (OBU) ubertragen wird, dafl 
wahrend der gegen Unterbrechungen empf indlichen Zeitspan- 
ne vom Endgerat (OBU) auf den Speicher (ICC) ein einziges 
Signal (MAKRO) ubertragen wird, das ein Buchungsaus- 
losungssignal (CMD), einen Buchungsdatensatz (B, L) f eine 
unter Verwendung des vorher iibertragenen ersten Daten- 



ro 

worts (Rl) generierte Kennung (SI) und ein zweites, vom 
Rechner (1) oder Endgerat (OBU) generiertes Datenwort 
(R2) enthalt, woraufhin der Speicher (ICC) die Kennung 
(SI) priift, die Buchung gemafi dem Buchungsdatensat z 
(B, L) , vornimnit, eine eigene Kennung (S2) unter Verwen- 
dung des zweiten Datenworts (R2) generiert und vom Spei- 
cher (ICC) ein Bes tat igungss ignal fur die vorgenommene 
Buchung zusammen mit seiner generierten Kennung (S2) iiber 
das Endgerat ( OBU) auf den Rechner (1) ubertragen wird, 
und dafl die Bestatigung fiir die Durchfiihrung der Buchung 
vom Endgerat (OBU) auf den Rechner (1) wahlweise inner- 
halb oder aufierhalb der gegen Unterbrechungen empfindli- 
chen Zeitspanne ubertragen wird. 

Verfahren nach Anspruch 1, dadurch gekennzeichnet , da/3 
der Buchungsdatensatz (B, L) einen Transakt ionsdatensatz 
(L) zur Erstellung eines Logbuch-Eintrags im Speicher 
(ICC) umfaflt. 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, 
dafi der Transakt ionsdatensatz (L) im Speicher (ICC) durch 
das auflerhalb der gegen Unterbrechungen empf indlichen 
Zeitspanne iibertragene Anerkennungs s ignal erganzt wird. 

Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, 
dafi der Transaktionsdatensatz (L) in einem seitenweise 
organisierten Speicher wahrend der gegen Unterbrechungen 
empf indlichen Zeitspanne vorlaufig auf der Seite abgelegt 
wird, auf der sich die der Buchung unterliegenden Daten 
befinden, und dafl die Ubertragung auf eine Logbuch-Datei 
auflerhalb der Zeitspanne erf olgt . 

Verfahren nach Anspruch 4, dadurch gekennzeichnet, da/5 
der Speicher (ICC) fiir einen Buchungsvorgang gesperrt 
ist, solange eine vorlaufig abgelegter Transaktionsdaten- 
satz (L) noch nicht in die Logbuch-Datei iibernommen wor- 
den ist. 



1 1 

Verfahren nach einem der Anspriiche 1 bis 5 zur Abbuchung 
von Benutzungsentgelten. 

Verfahren nach Anspruch 6 zur Gebuhrenerf assung fur 
Kraf tf ahrzeuge (3) . 
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Zusammenf as sung 

Bei einem Verfahren zur Durchf iihrung eines Buchungsvorganges 
auf einem mobilen, intelligenten Speicher (ICC), insbesondere 
einer Chipkarte, mit Hilfe eines Endgerats OBU, das drahtlos 
5 mit einem Rechner (1), vorzugsweise iiber Rechners tationen, 

gesichert kommuniziert, laflt sich eine Hochgeschwindigkeits- 
Abbuchung mit einem geringen Unterbrechungsris iko dadurch rea- 
lisieren, dafl vor einer gegen Unterbrechungen empf indlichen 
Zeitspanne ein zur dynamischen Authentizitatspriif ung generier- 

10 tes erstes Datenwort (Rl) vom Speicher (ICC) auf das Endgerat 
(OBU) iibertragen wird, dafi wahrend der gegen Unterbrechungen 
empf indlichen Zeitspanne vom Endgerat (OBU) auf den Speicher 
(ICC) ein einziges Signal (MAKRO) iibertragen wird, das ein 
Buchungsauslosungssignal (CMD) , einen Buchungsdatensatz (B, 

15 L) , eine unter Verwendung des vorher ubertragenen ersten Da- 
tenworts (Rl) generierte Kennung (SI) und ein zweites, vom 
Rechner (1) oder Endgerat (OBU) generiertes Datenwort (R2) 
enthalt, woraufhin der Speicher (ICC) die Kennung (SI) priift, 
die Buchung gemaB dem Buchungsdatensatz (B, L) , vornimmt, eine 

20 eigene Kennung (S2) unter Verwendung des zweiten Datenworts 
(R2) generiert und vom Speicher (ICC) ein Bestatigungssignal 
fur die vorgenommene Buchung zusammen mit seiner generierten 
Kennung (S2) iiber das Endgerat (OBU) auf den Rechner (1) iiber- 
tragen wird. 

25 
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METHOD OF PERFORMING A POSTING 

The present invention relates to a method of performing a 
posting on a mobile intelligent storage device, in particular 
an IC card, with the help of a terminal which has secure 
wireless communication with a computer, preferably via 
5 computer stations, with a mutual dynamic authenticity test 
being performed between the computer or terminal and the 
storage device using a constantly changing data word, debit 
posting information being generated by the computer or 
terminal and processed and acknowledged by the storage device, 
10 the terminal subsequently sending a confirmation signal to the 
computer that the debit posting has been performed and 
optionally receiving an acknowledgment signal for the posting 
which has been performed. 

.15 One important application of such a method is for automatic 

collection of tolls and other driving related fees by wireless 
communication between a roadside system RSS (computer station 
with a radio beacon) and an on-board unit OBU with an 
integrated ' circuit card ICC. The on-board terminal (OBU) in 

20 the vehicle can be equipped with an integrated circuit card 
and is designed as a transponder in a known arrangement. The 
OBU derives the required energy from the received signal of 
the RSS radio beacon and sends a signal modulated with a data 
stream back to the radio beacon. 

25 

Numerous posting systems with IC cards are known, with the 
posting taking place as a secure operation by a mutual 
authenticity test between the terminal and the IC card. First 
a posting signal is generated by the terminal, selecting the 

30 posting application on the IC card. After receiving 

confirmation by the IC card that the selection has been 
performed, the terminal generates a random number and 
transmits it to the IC card. Using the random number with the 
stored signature, the IC card forms an identifier and 

35 transmits it to the terminal. The terminal extracts the IC 



card signature from the signal and can thus recognize that the 
IC card is authorized for operation with the respective 
terminal. For reverse authenticity testing, the IC card then 
generates an additional number and transmits it to the 
5 terminal. With the random number and its own signature, the 
computer communicating with the terminal forms an identifier 
which is received and verified by the IC card. After mutual 
authenticity verification, the computer queries the IC card 
via the terminal to determine the money value carried on the 

10 card. A new money value is calculated from the resulting 

information and entered into the IC card via a write signal. 
The entry operation is acknowledged by the IC card, with the 
acknowledgment signal being sent to the computer. The device 
may optionally cause the new money value to be read out again 

15 for comparison with the calculated money value. 

This posting method thus presupposes at least six 
transmissions in both directions. The posting operation 
requires several hundred ms, which is not generally critical, 
20 because usually enough time is available and the mutual 

transmissions are not at risk of interruptions during this 
period of time. 

However, the situation is completely different for many 
25 applications, in particular for collecting tolls from fast- 

moving vehicles. The wireless microwave connection between the 
on-board unit and the roadside stationary radio beacon may be 
interrupted and must be concluded within a very short period 
of time. The entire payment transaction must be concluded 
30 within a short period of time between 50 and 100 ms . In 

addition, communication between the terminal and the IC card 
is possible only if there is a radio connection with the radio 
beacon, if the terminal is designed as a transponder and 
therefore receives its power supply from the radio beacon 
35 signals received. 

As a result, communication between the terminal and the IC 
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card during the debit posting procedure is susceptible to 
interference in the radio connection. For high speed posting, 
it is therefore of crucial importance for communication 
between the terminal and IC card to take place in the shortest 
possible period of time, because an interruption in 
communications requires either that communication be resumed 
with the same terminal or that all terminals be networked. 
Neither requirement is usually met with toll collecting 
systems for urban public transportation, for example. 

The object of the present invention is thus to provide a 
posting method of the type mentioned above, which will permit 
high speed processing and will have only a short period of 
time during which it is sensitive to interruption. 

This problem is solved on the basis of a method of the type 
defined in the preamble by a first data word, generated for a 
dynamic authenticity test, being transmitted from the storage 
device to the terminal before an interrupt -sensitive period of 
time; a single signal being transmitted from the terminal to 
the storage device during the interrupt -sensitive period of 
time, said signal containing a posting triggering signal, a 
posting data record, an identifier generated using the 
previously transmitted first data word and a second data word 
generated by the terminal, whereupon the storage device checks 
the identifier, performs the posting according to the posting 
data record and generates its own identifier using the second 
data word, and an actuating signal for the posting performed 
is transmitted to the computer together with its generated 
identifier via the terminal, and confirmation that the posting 
has been performed is transmitted from the terminal to the 
computer optionally inside or outside the interrupt -sensitive 
period of time. 



The present invention is based on the fact that the sequential 
communications that were customary in the past for mutual 
authenticity testing, for selecting the application and for 



performing the posting can be combined into a single command 
signal. Accordingly, the communication performed during the 
interrupt -sensitive period of time is reduced to a signal 
transmitted from the computer or terminal to the IC card and a 
signal transmitted back from the IC card to the computer or 
terminal, the latter signal being generated after the 
processing operations on the IC card. The prerequisite for 
this communication is prior transmission of a first data word 
from the storage device to the terminal, with the first data 
word being either time information or a random number. 
Furthermore, the debit posting procedure can be completed 
outside the interrupt-sensitive period of time by the 
subsequent confirmation for the posting from the terminal to 
the computer to be performed. The mutual authenticity test is 
performed regularly between the computer and the storage 
device with the terminal in between. However, it is also 
conceivable for an authenticity test to be performed only 
between the terminal and the storage device and for the 
computer to only be notified of the result of the test either 
explicitly or implicitly. 

In a preferred embodiment of the present invention, the 
posting data record also contains a transaction data record 
for creating a log book entry in the storage device. In this 
way a complete log book documenting all transactions and fee 
amounts is generated in the storage device. 

The transaction data record in the storage device is 
advantageously supplemented by the acknowledgment signal from 
the computer transmitted outside the interrupt-sensitive 
period of time. Without this acknowledgment signal, the 
transaction data record is only provisional. 

The IC cards preferably used as the storage device often have 
a non-volatile memory (EEPROM) which is organized physically 
page by page. Writing to such a memory is time-consuming and 
is possible only for one page. Above the physical level there 
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is a logic organization into data files by the IC card 
operating system. The data file containing the data affected 
by a posting, i.e., usually a data file for a money account, 
is usually set up separately from the log book data file. 
Access to the money account data file and the log book data 
file therefore traditionally requires at least two time- 
consuming physical write accesses to the non-volatile storage 
device. For the purpose of a high speed posting procedure 
according to the present invention, it is therefore extremely 
advantageous in one embodiment of the method according to the 
present invention if the (provisional) transaction data record 
is stored on the page where the data which is subject to the 
posting is located and if the transmission to a log book data 
file takes place outside the interrupt-sensitive period of 
time. To ensure that this transmission to the log book data 
file will always take place, an automatic status register may 
be implemented on the IC card, permitting a new debit posting 
only after the transfer to the log book data file has been 
made. As an alternative to this, transmission of the last 
transaction data record may be performed automatically first 
when a new debit posting is made. However, this would be 
associated with a time disadvantage. 

With today's technology, the time-critical posting procedure 
between the terminal and the storage device can be accelerated 
to more than 150 kbps . 

Brief Description of the Drawings 

The present invention will be explained in greater detail 
below on the basis of one embodiment illustrated in the 
figures, which show: 

Figure 1: a schematic diagram of communication between a radio 
beacon, a computer station and a moving vehicle 
equipped with a terminal having an IC card; 



Figure 2 : a schematic diagram of the compact communication 

between the terminal and the IC card required for a 
posting according to the present invention. 



5 Detailed Description 

Figure 1 shows a roadside computer station 1 with a radio 
beacon 2 with which it communicates with a moving vehicle 3 . 
For this purpose, the moving vehicle is equipped with an on- 
10 board terminal OBU whose fee credit is stored on an integrated 
circuit card ICC. 

When driving through the communication range, which amounts to 
about 4.5 meters in the present case, the road toll is to be 
15 deducted from the credit on IC card ICC, i.e., posted to the 
credit account of IC card ICC. 

The required communication sequence calls for an initiation 
signal of radio beacon 2, to which terminal OBU responds with 

20 a service request signal. Then radio beacon 2 generates a 

debit order signal which is transmitted from terminal OBU to 
IC card ICC as a debit command. After the debit posting has 
been performed, the IC card generates a receipt acknowledgment 
signal, which is transmitted from terminal OBU to radio beacon 

25 2 on the basis of an initiation signal of radio beacon 2 . 

Proper receipt of the acknowledgment signal is then confirmed 
by radio beacon 2 as acknowledge whereupon terminal OBU 
transmits the acknowledgment signal to the IC card to complete 
a transaction data record, and the IC card makes the 

30 information available for the next service request by terminal 
OBU. 

The time-critical part of this communication is from the 
creation of the debit order by radio beacon 2 until 
35 transmission of the acknowledgment signal to terminal OBU. 

This communication which is susceptible to interference is 
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executed within an extremely short period of time according to 
the present invention due to the fact that a MACRO signal is 
relayed from terminal OBU to IC card ICC according to Figure 
2, with the MACRO signal containing a selection signal for 
respective application APPL (posting) , a posting triggering 
signal CMD, posting amount B, its own signature SI and a 
generated random number R2 . Furthermore, the MACRO signal 
preferably also contains a provisional transaction data record 
L for creating log book information in IC card ICC. 
Transaction data record and posting amount B together form a 
posting data record. 

Signature SI is preferably transmitted in encoded form using a 
first data word Rl which was previously transmitted from IC 
card ICC to terminal OBU in the form of a time signal or a 
random number. 

IC card ICC selects the application according to APPL, checks 
signature SI and posting amount B, calculates and writes the 
new money value in the money account data file and log book 
information L, thereby performing the posting. Furthermore, IC 
card ICC calculates a second identifier with the help of its 
own signature S2 using second data word R2 generated by 
terminal OBU, said data word also being either a random number 
or time information. 

After these operations have been performed, the IC card 
transmits an acknowledgment signal and the second identifier 
with signature S2 to terminal OBU . The acknowledgment signal 
is sent from terminal OBU to radio beacon 2, i.e., to computer 
1, which checks and acknowledges the authenticity of IC card 
ICC. 

The provisional transaction data record in IC card ICC is 
completed by a confirmation signal from computer 1 for receipt 
of the acknowledgment signal for the posting performed. 
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The acknowledgment signal from computer 1 can be used to 
transfer the transaction data record stored in the IC card 
temporarily to a log book data file. 
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Patent Claims 



1. Method of performing a posting to a mobile intelligent 

storage device, in particular an IC card (ICC) , with the 
help of a terminal (OBU) engaging in wireless, secure 
communication with a computer (1) , preferably via 
computer stations, with a mutual dynamic authenticity 
test being performed between the computer (1) , terminal 
(OBU) and the storage device (ICC) using a constantly 
changing data word (Rl, R2), the debit posting 
information being generated by the computer (1) or 
terminal (OBU) and processed and acknowledged by the 
storage device (ICC) , whereupon the terminal (OBU) sends 
a confirmation signal for performing the posting to the 
computer (1) and optionally receives an acknowledgment 
signal for the debit posting thus made, characterized in 
that before an interrupt-sensitive period of time, a 
first data word (Rl) generated for a dynamic authenticity 
test is transmitted from the storage device (ICC) to the 
terminal (OBU) ; during the interrupt-sensitive period of 
time, a single signal (MACRO) is transmitted from the 
terminal (OBU) to the storage device (ICC) , said MACRO 
signal containing a posting triggering signal (CMD) , a 
posting data record (B, L) , an identifier (SI) generated 
using the previously transmitted first data word (Rl) , 
and a second data word (R2) generated by computer (1) or 
terminal (OBU) , whereupon the storage device (ICC) checks 
the identifier (SI) , performs the posting according to 
the posting data record (B, L) and generates its own 
identifier (S2) using the second data word (R2) , said 
storage device (ICC) then transmitting a confirmation 
signal for the posting performed together with its 
generated identifier (S2) to computer (1) via the 
terminal (OBU) , confirmation that the posting has been 
performed being transmitted from the terminal (OBU) to 
the computer (1) either inside or outside the interrupt- 
sensitive period of time. 



9 



Method according to Claim 1, characterized in that the 
posting data record (B, L) includes a transaction data 
record (L) for creating a log book entry in the storage 
device (ICC) . 

Method according to Claim 1 or 2 , characterized in that 
the transaction data record (L) in the storage device 
(ICC) is supplemented by the acknowledgment signal 
transmitted outside the interrupt-sensitive period of 
time. 

Method according to Claim 2 or 3 , characterized in that 
the transaction data record (L) is stored temporarily 
during the interrupt-sensitive period of time on the page 
in a storage device organized by pages where the data 
subject to posting is located, and the transmission to a 
log book data file takes place outside this period of 
time . 

Method according to Claim 4, characterized in that the 
storage device (ICC) is blocked for posting as long as a 
transaction data record (L) stored temporarily has not 
been transferred to the log book data file. 

Method according to one of Claims 1 through 5 for posting 
use fee debits. 

Method according to Claim 6 for collecting tolls for 
motor vehicles (3) . 



10 



Abstract 

In a method of performing posting on a mobile intelligent 
storage device, in particular an IC card (ICC) , with the help 
of a terminal (OBU) which has wireless, secure communication 
with a computer (1) , preferably via computer stations, a high 
speed debit posting can be achieved with a low risk of 
interruption by transmitting a first data word (Rl) generated 
for a dynamic authenticity test from the storage device (ICC) 
to the terminal (OBU) before an interrupt -sensitive period of 
time, transmitting a single signal (MACRO) from the terminal 
(OBU) to the storage device (ICC) during the interrupt - 
sensitive period of time, said MACRO signal containing a 
posting triggering signal (CMD) , a posting data record (B, L), 
an identifier (SI) generated using the previously transmitted 
first data word (Rl) and a second data word (R2) generated by 
the computer (1) or the terminal (OBU), whereupon the storage 
device (ICC) tests the identifier (SI), performs the posting 
as per the posting data record (B, L) and generates its own 
identifier (S2) using the second data word (R2), a 
confirmation signal for the posting performed being 
transmitted by the storage device (ICC) together with its 
generated identifier (S2) to computer (1) via the terminal 
(OBU) . 

(Figure 2) 



MAKRO -> MACRO 



